[发明专利]一种加固网络SSL服务的方法

说明书

技术领域

本发明属于计算机信息安全技术领域，更具体地说涉及SSL服务领域。

背景技术

SSL是Secure Sockets Layer通讯协议的简称，通过给对称加密技术约定对称密钥，建立加密通道，在客户端IE浏览器和WEB服务器之间形成一条安全通道，保护IE浏览器和WEB服务器之间通信的数据。现有的网络SSL安全服务系统，主要分成提供WEB服务的服务器端和由远程登录用户组成的客户端两方面，一般一个通用安全WEB服务会同时有若干个客户端连接到服务器，其工作原理为：当客户端的浏览器向远程服务器请求建立SSL连接时，客户机与服务器两端的SSL服务模块之间进行密钥交换(密钥协商)，密钥交换成功后建立安全通道，然后客户端的浏览器与服务器之间进行数据传输。

现有客户端SSL服务模块与服务器端SSL服务模块之间的协商标准安全通道，主要分为以下四个阶段6个步骤：

第一阶段：建立安全连接：

第1步：客户端问候(client hello)，客户端向服务器端发送以下参数后等待服务器发送消息：版本、随机数(32位时间戳+28字节随机序列)、会话ID、客户支持的密码方法序列(cipher suite)、客户支持的压缩方法列表；

第2步：服务器问候(server hello)，服务器接收到客户端发送的参数后，从中选择一个版本、密码方法、压缩方法，连同服务器产生的随机数、会话ID，发送给客户端；

第二阶段：服务器认证和密钥交换：

第3步：服务器把自己的数字证书(包括一个X.509证书，或者一条证书链)出示给客户端验证，根据情况发送密钥交换和证书请求消息，发送“服务器问候结束”消息，等待应答；

第三阶段：客户端认证和密钥交换：

第4步：客户端检查服务器提供的证书，判断“服务器问候”消息的参数是否可以接受，如果都没有问题的话，则将消息发送给服务器，同时根据需要向服务器发送自己的证书，请求服务器的验证；

第四阶段：密钥交换结束，建立安全连接：

第5步：客户端向服务器发送一个“交换密钥声明”消息，把协商得到的密钥序列拷贝到当前连接的状态之中，然后用新的加密方法、密钥参数发送一个结束消息；

第6步：服务器用客户端发送的加密方法、密钥参数检验密钥交换和认证过程是否已经成功，最后发送“交换密钥声明”消息和结束消息，如果验证密钥交换成功，则建立SSL安全连接通道，客户和服务器可以交换应用层数据，否则安全连接建立失败。

通过以上密钥交换流程，SSL通道得以建立，浏览器和服务器之间传送的敏感机密信息，比如密码、个人信息或者信用卡号码等等，可得到有效保护。目前提供SSL服务已成为所有浏览器必须支持的一种功能。我们通常在访问某个安全web服务时在地址栏中输入https开头的地址，就是使用了浏览器中的SSL模块。

虽然目前的SSL服务对传送的信息有一定的保护作用，但同样存在安全隐患。因为浏览器无法对SSL的参数进行配置，因此即使我们知道其加密技术存在安全漏洞，也无法限制浏览器不去使用它。国外媒体公布的关于SSL漏洞的问题已经引起很多专家的重视，比如浏览器中默认支持的RC4加密方法存在安全漏洞，如果一台个人电脑对该加密数据包进行分析，经过几个小时的时间就可以破译出信息的全部内容，而浏览器无法对其默认自带的加密技术进行选择、更改其对称密钥，因此即使我们知道RC4加密技术存在安全漏洞，也无法限制浏览器不去使用它。另外，因为浏览器和WEB服务器默认的SSL模块和加密技术都运行在操作系统内存中，安全性往往受到运行环境安全性的影响。最近，以色列魏兹曼科学院教授Adi Shamir公布的PC处理器在理论上存在的数学漏洞将导致RSA加密算法遭到攻击，如果被黑客利用，将使全球电子商务陷入灾难，因为RSA是电子商务应用中广泛使用的SSL技术的核心算法，这引起全世界的震惊。另外，尽管SSL协议已经从1.0，2.0晋升到3.0，TLS1.0、SSL1.0/2.0也已经被业界证明安全性存在一定的问题，标准的浏览器一般都仍然使用SSL2.0作为默认的选项，因此基于标准浏览器和通用SSL服务器模块建立的SSL连接存在很多安全隐患，加固网络SSL服务的安全迫在眉睫。

为了解决上述电子商务应用中广泛使用的SSL技术的安全问题，有些有实力的用户可以考虑购买专用的安全web服务器，但是对于大多数用户来说，要购买专门的web服务器还是存在成本过高的问题。

发明内容